Potplayer | 音乐 | MXPlayer | PDF | 看图 | OCR | 皮肤 | 壁纸 | 网络 | 搜狗 | 优化 | 浏览器 | 主题 | 下载 | 迅雷 | Android | office | 小说 | 度盘 | windows7

木马借“游民星空”等站传播,可云控投放恶意模块

2020.07.09 21:25:08  

近日,火绒工程师发现木马程序“commander”借助“游民星空”、“游侠网”下载站,再次大范围传播。用户通过上述下载站下载运行高速下载器后,即会感染该木马程序。目前,火绒最新版已对该木马程序和其推送的恶意模块进行拦截查杀。

火绒工程师分析发现,用户运行下载器后,会被诱导静默安装“风云PDF阅读器”、“高效截图工具”等流氓软件,并在开始菜单、桌面等位置均没有创建相关的启动快捷方式,让用户无法发现;同时,这些软件还会携带木马程序“commander”,可通过云控服务器下发弹窗广告等恶意模块。

值得注意的是,该木马程序早在今年三月份,就因通过“多特”下载站下载器进行传播被火绒拦截披露过(详见报告《无节制流氓推广 2345旗下下载站正在传播木马程序》)。

一直以来,通过下载站传播的病毒屡屡不断,火绒就下载站的安全问题也进行过多次的报道、披露,甚至推出拦截下载站下载器的功能,帮助用户避免风险。在此,火绒工程师提醒广大用户,一定要通过官网等正规渠道下载软件,谨慎使用下载站等第三方下载器下载软件。

附:【分析报告】

一、 详细分析

近期,火绒发现commander恶意程序再次大面积传播,本次我们发现会投放commander恶意程序的流氓软件包括:高效截图软件和风云PDF阅读器。与此前我们揭露的流氓软件相同,上述两款软件被静默安装后,在开始菜单、桌面等位置均没有创建相关的启动快捷方式,导致用户难以发现该软件的存在。经过溯源,我们发现上述流氓软件会借助游民星空(hxxp://down.gamersky.com )、游侠网下载站(hxxp://down.ali213.net)进行推广。恶意行为传播与执行流程,如下图所示:

流程图

更有意思的是,游民星空与游侠网下载站所使用的下载器文件hash值完全相同。下载器文件信息,如下图所示:

下载器文件信息

下载器界面

下载器界面

如上图,下载器界面会诱导用户点击“推荐安装”按钮,且未设有用于取消软件推广的勾选项。在点击“推荐安装”按钮后,除上图已给出的软件外,还会静默推广安装更多流氓软件,如:风云PDF阅读器、高效截图软件等。下载器部分推广配置,如下图所示:

推广软件的部分配置信息

本次commander恶意程序主要通过风云PDF阅读器和高效截图软件安装包进行投放,并且在安装上述流氓软件后,在开始菜单、桌面等位置均未创建相关的启动快捷方式,导致用户难以发现该软件的存在。流氓软件文件信息,如下图所示:

高效截图软件安装包文件信息


风云PDF阅读器安装包文件信息

被投放的commander恶意程序,与此前火绒发布报告中所描述的流氓推广功能基本相同,都会下发执行广告弹窗模块,并且可以对commander恶意程序进行实时更新。恶意云控配置,如下图所示:

广告弹窗推广策略

以风云PDF进行举例,与commander模块数据对比,如下图所示:

同源模块数据

风云PDF和高效截图软件下发的广告弹窗内容(易引起不适的广告内容已过滤),如下图所示:

广告弹窗

广告弹窗

二、 附录
病毒hash

👍 点 赞 支 持 一 下

相关推荐

发表评论

目前有 5 条留言  访客:0 条, 博主:0 条   留言头像   Laomo.meQQ群

  1. 123 2020年07月11日 下午8:20  Δ-9楼 回复
    Google Chrome 80.0.3987.87 Windows 7 x64 Edition

    屏蔽了广告的表示没见过高速下载按钮,而且就算有我从十几年前开始就没想去点过。

  2. 壕歼灭者 2020年07月10日 上午11:32  Δ-8楼 回复
    Microsoft Edge 83.0.478.58 Windows 10 x64 Edition

    小白才会去点高速下载

    • hotemp 2020年07月11日 上午10:28  ∇地下1层 回复
      Google Chrome 76.0.3809.100 Windows 10 x64 Edition

      互联网用户中,小白占99%

  3. 阿菠萝 2020年07月10日 上午7:27  Δ-7楼 回复
    Microsoft Edge 83.0.478.61 Windows 10 x64 Edition

    一直只用本地下载,而且自己划到下载地址那。

  4. 花花猫 2020年07月10日 上午12:08  Δ-6楼 回复
    Firefox 78.0 Windows 10 x64 Edition

    从来不用高速下载

为你推荐

· 正 版 6折 IDM 下载神器

· 正 版 2折 Office 办公软件

· 正 版 2折 Windows10 操作系统

· 正 版 2折 WiseCare365 全能优化

· 正 版 5折 AdGuard 广告过滤神器

· 正 版 4折 白描 OCR文字识别

· 正 版 7折 MindMaster 思维导图

· 正 版 4折 DeepFreeze 冰点还原精灵

· 正 版 5折 Protected Folder 加密工具

本站声明

本站一贯非常高度重视知识产权保护并遵守中国各项知识产权法律、法规和具有约束力的规范性文件。重视官方原版,打击盗版。根据法律、法规和规范性文件要求,本站旨在保护权利人的合法权益的措施和步骤,当权利人发现在本站生成的链接所指向的第三方网页的内容侵犯其合法权益时,权利人应事先向本站发出"权利通知",本站将根据中国法律法规和政府规范性文件采取措施移除相关内容或链接。

本站尊重各网络文件的版权问题,所有软件文件均出自网络,所有提供下载的软件和资源均为软件或程序作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯您的版权,请电邮我们,本站将立即改正。本站对互联网版权绝对支持。

访问本站的用户必须明白,本站对提供下载的软件等不拥有任何权利,其版权归该资源的合法拥有者所有。 

本站保证站内提供的所有可下载资源(软件等等)都是按“原样”提供,本站未做过任何改动;但本网站不保证本站提供的下载资源的准确性、安全性和完整性;同时本站也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。 

根据二00二年一月一日《软件保护条例》规定:为了学习和研究软件内含的设计思想和原1理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!鉴于此,也希望大家按此说明研究软件!谢谢!

不论何种情形我们都不对任何由于使用或无法使用本站提供的信息所造成的直接的、间接的、附带的、特殊的或余波所及的损失、灵失、债务或中断负任何责任﹝不论是可预见或是不可预见的,即使我们巳被告知这种可能性﹞。

未经本站的明确许可,任何人不得大量链接本站下载资源;不得复制或仿造本网站。本网站对其自行开发的或和他人共同开发的所有内容、技术手段和服务拥有全部知识产权,任何人不得侵害或破坏,也不得擅自使用。